ISE 3.3 pxGrid Direct konfigurieren und Fehlerbehebung dafür durchführen
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie der Cisco Identity Service Engine 3.3 pxGrid Direct Connector mit externen REST-APIs konfiguriert wird, um Endpunktdaten abzurufen.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco ISE 3.3
- REST-API
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco ISE 3.3
- REST-API-Server, der JSON-Daten für Endpunkteigenschaften bereitstellte
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Cisco pxGrid Direct unterstützt Sie bei der schnelleren Auswertung und Autorisierung der Endgeräte, indem Sie eine Verbindung zu externen REST-APIs herstellen, die JSON-Daten für Endgeräteattribute bereitstellen und diese Daten in die Cisco ISE-Datenbank abrufen. Durch diese Funktion müssen Endpunktattributdaten nicht jedes Mal abgefragt werden, wenn ein Endpunkt autorisiert werden muss. Anschließend können Sie die abgerufenen Daten in Autorisierungsrichtlinien verwenden.
pxGrid Direct hilft bei der Datenerfassung auf Basis der Attribute, die Sie in Ihren pxGrid Direct-Konfigurationen angeben. Zwei Pflichtfelder, die als Eindeutiger Bezeichner und Korrelationsbezeichner bezeichnet werden, werden zum Abrufen relevanter Daten verwendet. Wenn ein Connector keine Werte für eines dieser Felder enthält, kann es beim Abrufen und Speichern von Daten aus einem Connector zu Fehlern kommen.
Konfigurieren von pxGrid Direct Connectors
Schritt 1: Neuen pxGrid Direct Connector hinzufügen
Um pxGrid Direct Connector zu konfigurieren, navigieren Sie von der ISE zu Administration > Network Resources > pxGrid Direct Connectors. Klicken Sie auf Hinzufügen.
Wenn die Willkommensseite für den pxGrid Direct Connect-Assistenten geöffnet ist, klicken Sie auf 
Schritt 2: Definieren des pxGrid Direct Connectors
Geben Sie dem Steckverbinder einen Namen und ggf. eine Beschreibung. Klicken Sie auf Next (Weiter).
Warnung: Aktivieren Sie das Kontrollkästchen Zertifikatsvalidierung überspringen, damit die Cisco ISE alle Zertifikate akzeptieren kann, die ein Server bereitstellt, ohne den Hostnamen oder andere Details zu überprüfen. Sie müssen dieses Kontrollkästchen nur in einer Testumgebung aktivieren oder wenn Sie der hohen Sicherheit des verbundenen Servers vertrauen. In der Regel kann das Überspringen von Zertifikatsvalidierungen Ihr Netzwerk anfällig für Machine-in-the-Middle-Angriffe machen.
Schritt 3: URL
- Geben Sie die URL der externen REST-API ein, die JSON-Daten für das Endpunktattribut bereitstellt.
- Geben Sie unter Authentication (Authentifizierung) den Benutzernamen und das Kennwort des externen REST API-Servers ein.
- Wählen Sie Testverbindung, warten Sie auf die Meldung Erfolgreich, und klicken Sie dann auf Weiter.
Tipp: Die inkrementelle URL ist für die Konfiguration optional. Falls die externe REST-API über Request Arguments verfügt, können diese verwendet werden, um die neuesten Informationen durch Filterung mit dem spezifischen Argument abzurufen, anstatt alle Daten anzufordern. Stellen Sie sicher, dass das Request-Argument zusammen mit der Dokumentation des externen REST-API-Servers vorhanden ist.
Schritt 4: Zeitplan
Wählen Sie den Zeitplan für eine VOLLSTÄNDIGE SYNCHRONISIERUNG.
- Standardwert: 1 Woche
- Mindestwert: 12 Stunden
- Höchstwert: 1 Monat
Wählen Sie den Zeitplan für die INKREMENTELLE SYNCHRONISIERUNG. Diese Option wird nur angezeigt, wenn sie in Schritt 3 konfiguriert wurde.
- Standardwert: 1 Tag
- Mindestwert: 1 Stunde
- Höchstwert: 1 Woche
Klicken Sie auf Next (Weiter).
Schritt 5: Übergeordnetes Objekt
Sie müssen den JSON-Schlüssel eingeben, um nach Attributen zu suchen.
Schritt 6: Attribute
Wählen Sie die Attribute von JSON aus, um Wörterbuchelemente zu konfigurieren, die für Richtlinien verwendet werden können.
In diesem Szenario enthält Dictionary die folgenden Attribute:
- Vermögenswert
- IP-Adresse
- MAC-Adresse
- BS-Version
- sys_id
- sys_update
- u_segmentation_group_tag
Klicken Sie auf Next (Weiter).
Schritt 7. Bezeichner
- Wählen Sie die Unique Identifier-Attribute aus, die für einen Endpunkt aus der CMDB-Datenbank eindeutig sind und in denen der externe REST-API-Server das JSON abruft.
- Wählen Sie die Correlation Identifier-Attribute aus, die für ISE eindeutig sind und einem Endpunkt eine Autorisierungsrichtlinie zuordnen können.
Klicken Sie auf Next (Weiter).
Schritt 8: Zusammenfassung
Stellen Sie sicher, dass der pxGrid Direct Connector ordnungsgemäß konfiguriert ist. Klicken Sie auf Done (Fertig).
Sobald der Connector fertig ist, wird er auf der Seite pxGrid Direct Connectors angezeigt.
Schritt 9. Verifizierung
Navigieren Sie von der ISE zu Richtlinie > Richtlinienelemente > Wörterbuch > Systemwörterbücher. Filtern Sie nach dem Namen Ihres pxGrid Direct Connectors. Wählen Sie es aus, und klicken Sie auf Anzeigen.
Navigieren Sie zu Dictionary Attributes, und sehen Sie sich unter Schritt 6 die Liste der als Dictionary Items konfigurierten Attribute an.
Kontexttransparenz pxGrid Direct Dashboard
Navigieren Sie von der ISE zu Context Visibility > Endpoints > More > pxGrid Direct Endpoints. Es wird eine Liste der Endpunkte mit den für Korrelation und eindeutige Bezeichner ausgewählten Werten angezeigt.
Klicken Sie auf die Korrelations-ID, um die Details anzuzeigen, oder laden Sie die Attribute eines bestimmten Endpunkts herunter.
Konfiguration der Autorisierungsrichtlinie mit pxGrid Direct Dictionary
Navigieren Sie von der ISE zu Policy > Policy Sets > Select a Policy Set > Authorization Policy. Klicken Sie in einer der Autorisierungsrichtlinien auf das Zahnrad-Symbol, und wählen Sie Einfügen aus.
Geben Sie der Regel einen Namen, und fügen Sie eine neue Bedingung hinzu, um das Bedingungsstudio zu öffnen.
Klicken Sie auf, um ein neues Attribut hinzuzufügen, navigieren Sie zu Nicht klassifiziert und unter Dictionary filter nach dem Namen des pxGrid Direct Connectors.
Wählen Sie ein Attribut aus, das unter einer Autorisierungsrichtlinie verarbeitet werden kann, und legen Sie den Wert fest. Klicken Sie auf Verwenden.
Wählen Sie das Profil als Ergebnis der Bedingung aus. Klicken Sie auf Speichern.
Testen der neuen Regel Stellen Sie sicher, dass die RADIUS-Live-Protokolldetails des Endpunkts und der Wert der Autorisierungsrichtlinie mit dem Regelnamen mit den pxGrid Direct Connector-Attributen übereinstimmen.
Fehlerbehebung
Navigieren Sie von ISE zu Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Wählen Sie Ihren primären Administrationsknoten (PAN) aus, und klicken Sie auf Bearbeiten.
Filtern Sie den Komponentennamen nach pxGrid Direct, und wählen Sie die erforderliche Protokollstufe aus. Klicken Sie auf Speichern.
- Die Protokolle der ISE PAN-CLI finden Sie unter:
admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log
- Navigieren Sie in der ISE-GUI zu Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug Log > Debug Log Type > Application Logs (Vorgänge > Fehlerbehebung > Anwendungsprotokolle). Laden Sie die ZIP-Dateien für pxgriddirect-service.log und pxgriddirect-connector.log herunter.
Anmerkung:
Die Protokolle für pxgriddirect-service enthalten Informationen darüber, ob abgerufene Endpunktdaten empfangen und in der Cisco ISE-Datenbank gespeichert wurden.
Die Protokolle für pxgriddirect-connector enthalten Informationen, die angeben, ob ein pxGrid Directed-Connector erfolgreich zur Cisco ISE hinzugefügt wurde.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
29-Sep-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)